SECURITY.md

🔒 Sicherheitsrichtlinie

🛡️ Unterstützte Versionen

Version	Unterstützt	Unterstützung bis
0.1.x	✅	31.12.2025
< 0.1.0	❌	-

🔍 Sicherheitslücken melden

Die Sicherheit unserer Nutzer hat höchste Priorität. Wir sind dankbar für jeden Hinweis auf mögliche Sicherheitslücken.

✉️ Meldeprozess

1. Vertrauliche Meldung:

   • E-Mail an: security@thegeekfreaks.de
   • PGP-Key: security_pgp.asc
   • Alternativ: Über unseren Security Advisory

2. Erforderliche Informationen:

   • Detaillierte Beschreibung der Schwachstelle
   • Schritte zur Reproduktion
   • Mögliche Auswirkungen
   • Version des Ingest-Tools
   • Betriebssystem und Version

3. Antwortzeit:

   • Erste Rückmeldung: innerhalb von 48 Stunden
   • Statusupdates: mindestens alle 5 Werktage
   • Behebung: je nach Schweregrad (siehe unten)

⏱️ Bearbeitungszeiten nach Schweregrad

🔒 Sicherheitsmaßnahmen

📦 Code-Sicherheit

• Automatische Dependency-Updates via Dependabot
• Code-Scanning mit CodeQL
• Regelmäßige Sicherheitsaudits
• Signierte Releases

🛡️ Datenverarbeitung

• Verschlüsselte Datenübertragung (AES-256)
• Keine Speicherung sensibler Daten
• Lokale Verarbeitung priorisiert
• Sichere Temporärdateien-Handhabung

🔑 Best Practices

• Principle of Least Privilege
• Defense in Depth
• Secure by Default
• Fail Secure

📜 Verantwortungsvolle Offenlegung

Wir folgen dem Prinzip der verantwortungsvollen Offenlegung:

1. Meldung: Sicherheitslücke wird gemeldet
2. Bestätigung: Wir bestätigen den Eingang
3. Untersuchung: Problem wird analysiert
4. Behebung: Fix wird entwickelt und getestet
5. Veröffentlichung: Nach Behebung wird CVE erstellt
6. Anerkennung: Finder wird in Hall of Fame gelistet

📋 Checkliste für Sicherheitsmeldungen

### Beschreibung
- [ ] Detaillierte Beschreibung der Schwachstelle
- [ ] Betroffene Komponenten identifiziert
- [ ] Mögliche Auswirkungen beschrieben

### Reproduktion
- [ ] Schritte zur Reproduktion dokumentiert
- [ ] Proof of Concept (PoC) bereitgestellt
- [ ] Betroffene Versionen angegeben

### Umgebung
- [ ] Betriebssystem und Version
- [ ] Ingest-Tool Version
- [ ] Relevante Konfigurationen

### Zusätzlich
- [ ] Screenshots/Videos (falls zutreffend)
- [ ] Vorgeschlagene Behebung (optional)
- [ ] CVE-ID (falls vorhanden)

📞 Kontakt

• Security Team: security@thegeekfreaks.de
• PGP Key: security_pgp.asc
• Discord: TGF Security
• Twitter: @TGFSecurity

---

Letzte Aktualisierung: 13.01.2025